ISO/IEC 27001 er alþjóðlegi viðmiðunarstaðallinn fyrir stjórnkerfi upplýsingaöryggis (ISMS). Sífellt oftar krafist af viðskiptavinum, í útboðum, af netöryggistryggingafélögum eða til að fá aðgang að ákveðnum útflutningsmörkuðum. SYAGA fylgir þér frá Gap Assessment fram að undirbúningi vottunarúttektar.
ISO 27001 er ekki almenn lagaskylda, en er að verða ómissandi viðskiptaforsenda
ISO/IEC 27001 er áfram valfrjálst ferli. Engu að síður er hennar sífellt oftar krafist í útboðum, af stórum viðskiptavinum, af ákveðnum netöryggistryggingafélögum, eða sem forsenda fyrir aðgangi að ákveðnum útflutningsmörkuðum.
Meirihluti lítilla og meðalstórra fyrirtækja hefur ekki hafið neitt skipulagt ferli við stjórnkerfi upplýsingaöryggis. Málið er upplifað sem flókið, tæknilegt og tímafrekt.
Hefðbundin vottunarverkefni binda starfsfólk þitt í marga mánuði og krefjast umtalsverðrar fjárfestingar, oft utan seilingar lítilla og meðalstórra fyrirtækja.
Að binda upplýsingatæknistjóra eða öryggisstjóra í marga mánuði til að byggja upp ISMS er ekki raunhæft í fyrirtæki þar sem hver og einn gegnir nú þegar mörgum hlutverkum.
Skipulagt ferli í 3 áföngum, byggt á sömu aðferðafræði og SYAGA hefur þegar sannað með PSSI-Express
Afmörkunarviðtal við stjórnendur og ábyrgðarmann upplýsingakerfa, síðan kerfisbundið mat á hverri af 93 öryggisstýringum viðauka A (útgáfa 2022), sem skiptast í 4 þemu: skipulagslegt, mannlegt, eðlislægt og tæknilegt. Skil á staðreyndabundinni frávikaskýrslu.
Ritun eða uppfærsla öryggisstefnu (ISMS), yfirlýsingar um gildissvið (SoA) sem rökstyður beitingu eða undanþágu hverrar af 93 stýringum, og forgangsraðaðrar úrbótaáætlunar til að loka þeim frávikum sem greindust í áfanga 1.
Eftirfylgni með innleiðingu úrbótaáætlunarinnar, yfirferð skjala, og undirbúningur starfsfólks þíns fyrir úttekt óháðrar viðurkenndrar vottunarstofu. SYAGA undirbýr þig fyrir úttektina; sjálf vottunin er gefin út af þessum þriðja aðila.
Grunnskjöl vottunarmöppu ISO 27001
Staðreyndabundið mat á samræmisstigi þínu gagnvart staðlinum.
Miðlægt staðlaskjal vottunarmöppu ISO 27001.
Stjórnskjalið sem greinar 4 til 10 staðalsins krefjast.
Vegvísir til að loka greindum frávikum.
Skjöl sem starfsfólk þitt getur nýtt strax.
Öll skjöl á sniðum sem þú getur þróað áfram.
ISMS samkvæmt ISO 27001 skarast eðlilega við marga staðla
Miðlægur staðall: greinar 4 til 10 (stjórnunarkröfur) og viðauki A (93 öryggisstýringar sem skiptast í 4 þemu).
Netöryggisáhættustjórnunarráðstafanir sem NIS2-tilskipunin krefst skarast að miklu leyti við stýringar viðauka A ISO 27001. ISMS samkvæmt ISO 27001 auðveldar NIS2-samræmi fyrir hlutaðeigandi einingar.
Ráðstafanir í tölvuöryggishreinlætisleiðbeiningum ANSSI skarast verulega við stýringar viðauka A ISO 27001. Samsvörun skjalfest í úrbótaáætluninni.
Viðeigandi tæknilegar og skipulagslegar ráðstafanir sem 32. grein GDPR krefst byggja á sömu góðu starfsvenjum og viðauki A ISO 27001 (aðgangsstýringu, dulkóðun, atvikastjórnun).
Hvert ISO 27001-verkefni er sniðið að umfangi þínu og núverandi þroskastigi. Ávallt sérsniðið tilboð.
Upphafleg mynd af frávikum þínum
Frá Gap Assessment til undirbúnings úttektar
Eftir vottun eða áframhaldandi
Hafðu samband við okkur til að fá sérsniðið tilboð eftir umfangi þínu og núverandi þroskastigi.
Það sem ISO/IEC 27001 raunverulega segir, útskýrt á einfaldan hátt. Hvert atriði vísar til opinberrar heimildar (ISO, AFNOR, COFRAC, ANSSI), uppfært 17.07.2026.
ISO/IEC 27001 er viðurkennd aðferð til að greina þær ógnir sem steðja að gögnum þínum, hafa stjórn á áhættunni og innleiða réttar varnir, þannig að upplýsingar þínar haldist trúnaðarbundnar, aðgengilegar og áreiðanlegar. Þetta er ekki hugbúnaður, heldur skipulag sem koma þarf á innan fyrirtækisins.
Heimild: AFNOR Certification (frönsk vottunarstofa)Ólíkt öðrum ferlum (eins og öryggisviðurkenningu sem lögð er á ákveðin kerfi franska ríkisins) er ISO 27001 valfrjáls: hún er vottunarstaðall, ekki almenn lagaskylda. Þú velur hana til að róa viðskiptavini, samstarfsaðila og tryggingafélög.
Heimild: ANSSI (frönsk yfirvöld, aðferðarblað)Aldrei fyrirtækið sjálft né ráðgjafi: aðeins óháð, viðurkennd vottunarstofa getur gefið það út (COFRAC er eina franska vottunaryfirvaldið, stofnað 1994). Vottorðið sem fæst gildir í 3 ár.
Heimild: COFRAC (frönsk vottunarstofa)Undanfarandi mat (valkvætt), undirbúningur, yfirferð skjala, úttekt á staðnum til að sannreyna hvað er raunverulega til staðar, útgáfa vottorðs (3 ár), síðan eftirlitsheimsókn árlega og heildarúttekt til endurnýjunar eftir 3 ár. Ekkert er endanlegt til frambúðar.
Heimild: AFNOR Certification (frönsk vottunarstofa)Samkvæmt könnun AFNOR meðal vottaðra fyrirtækja: 89% urðu vör við færri öryggisatvik, 83% hafa traustari innri öryggisferla, og 88% héldu viðskiptavinum sem hefðu hugsanlega farið án vottunarinnar.
Heimild: könnun AFNOR 2019Þetta er mest notaði upplýsingaöryggisstaðall heims samkvæmt ISO sjálfri. Og vottunarkerfið sem hefur eftirlit með vottunarstofum (eins og COFRAC í Frakklandi) er alþjóðlega viðurkennt með samningum milli landa, sem auðveldar aðgang að mörkuðum í Evrópu og víðar.
Heimild: ISO (nefnd JTC1/SC27)Það þarf hvorki að vera alþjóðlegt stórfyrirtæki né stafrænt fyrirtæki. Hér er, með stuðningi opinberra heimilda, hverjir geta (og stundum þurfa) að huga að þessu.
Vottunin beinist að „öllum stofnunum, fyrirtækjum og sveitarfélögum, af öllum stærðum og í öllum atvinnugreinum sem hafa gögn, hvort sem er á pappír eða á rafrænu formi". AFNOR tekur sjálf fram að hún beinist ekki „einungis að gagnahýsingaraðilum, sprotafyrirtækjum, alþjóðlegum stórfyrirtækjum eða upplýsingatæknifyrirtækjum": bókhaldsstofa, bifreiðaverkstæði, félagasamtök, sveitarfélag, heilsugæsla... ef þú hefur gögn, fellur þú undir þetta.
Heimild: AFNOR Certification (frönsk vottunarstofa, 17.07.2026)Opinbert aðferðarblað ANSSI (maí 2025) staðfestir þetta svart á hvítu: fyrir ISO/IEC 27001 er reiturinn „Skylda" merktur „Valfrjálst". Á móti gildir öryggisviðurkenning (hin raunverulega lagaskylda) aðeins um upplýsingakerfi franska ríkisins og reglusettra franskra rekstraraðila (OIV/OSE). Þetta eru tveir ólíkir heimar: ekki rugla þeim saman ef þjónustuveitandi talar um lagalega ISO 27001-skyldu - það er ekki rétt.
Heimild: ANSSI (frönsk yfirvöld), aðferðarblað v1.0 (maí 2025)Evrópski textinn NIS2 (sem er skylda) vísar sérstaklega til staðlafjölskyldunnar ISO/IEC 27000, sem ISO 27001 tilheyrir, sem viðmiðun um góðar starfsvenjur fyrir netöryggisráðstafanir sem innleiða þarf. Framkvæmdastjórn Evrópusambandsins biður aðildarríkin um að „stuðla að notkun viðeigandi evrópskra og alþjóðlegra staðla". Í raun: ISO 27001 verður viðurkenndasta leiðin til að sanna NIS2-samræmi gagnvart eftirlitsaðila.
Heimild: EUR-Lex, tilskipun (ESB) 2022/2555, formálsgreinar 79-80Samkvæmt Framkvæmdastjórn Evrópusambandsins nær NIS2 yfir 18 mikilvægar atvinnugreinar: orku, samgöngur, heilbrigðisþjónustu, fjármál, vatnsstjórnun, stafræna innviði (þegar í NIS1), auk nú einnig almennra fjarskipta, samfélagsmiðla, úrgangsstjórnunar, framleiðslu mikilvægra vara, pósts, opinberrar stjórnsýslu og geimiðnaðar. Stærðarreglan: „meðalstórar og stórar einingar" í þessum greinum þurfa að grípa til netöryggisáhættustjórnunarráðstafana og tilkynna umtalsverð atvik.
Heimild: Framkvæmdastjórn Evrópusambandsins, digital-strategy.ec.europa.euOpinbera evrópska skilgreiningin (tilmæli 2003/361/EB) setur nákvæm viðmiðunarmörk. Fyrirtæki fer yfir „meðalstórt"-mörkin (og fellur líklega undir NIS2) um leið og það fer yfir eitt af þessum viðmiðum:
| Flokkur | Starfsmannafjöldi | Velta |
|---|---|---|
| Örfyrirtæki | undir 10 | 2 millj. evra eða minna |
| Lítið fyrirtæki | undir 50 | 10 millj. evra eða minna |
| Meðalstórt fyrirtæki | undir 250 | 50 millj. evra eða minna |
Framkvæmdastjórn Evrópusambandsins lagði 20. janúar 2026 fram markvissa breytingartillögu til að einfalda samræmi fyrir 28.700 fyrirtæki, þar af 6.200 ör- og lítil fyrirtæki. Sönnun þess að málið varðar ekki lengur eingöngu stór fyrirtæki: smærri einingar lenda í því, í gegnum viðskiptavini sína eða atvinnugrein, að þurfa að uppfylla sömu kröfur.
Heimild: Framkvæmdastjórn Evrópusambandsins, digital-strategy.ec.europa.eu (20.01.2026)